主机监控与审计系统设计方案.doc
《主机监控与审计系统设计方案.doc》由会员分享,可在线阅读,更多相关《主机监控与审计系统设计方案.doc(21页珍藏版)》请在沃文网上搜索。
1、主机监控与审计系统设计方案北京市爱威电子技术公司2010年5月目录1.系统简介12.系统总体结构22.1系统架构及基本工作原理22.2系统功能结构33.系统功能43.1代理端功能43.1.1数据采集功能43.1.2控制功能53.1.3其它功能63.2控制管理中心功能73.2.1系统管理功能73.2.2计算机软硬件资产管理功能93.2.3监视管理功能103.2.4策略管理功能113.2.5文件/补丁程序管理功能133.2.6审计管理功能143.2.7报警管理功能153.2.8日志管理功能163.3用户浏览功能164系统特点174.1 CPU占用少174.2网络资源占用少184.3非法内联监控效率
2、高19191.系统简介随着网络信息化的高速推进,人类社会的行为与活动已经和网络系统紧密联系起来。网络信息系统将人类传统的工作、管理模式“映射”到网络环境中,极大地提高了研究、工作和管理效率。人们对于内部网络系统,曾经假定 “内部环境是安全的”,但自从网络系统采用了开放互连的TCP/IP协议后,这种假设条件在事实上已经不能完全成立了。各类单位(尤其是涉密单位)为了保证员工能通过网络(包括互联网)共享信息的同时,确保不会因为使用网络而有意或无意的泄漏敏感信息,都采取了相应的行政手段对本单位内部局域网的使用和操作规范进行强制性的、非技术性的管理,这些管理措施在特定时期和特定环境下是可用的,但仅依靠非
3、技术性管理却是有悖于信息化初衷的,是不利于信息化进程发展的。主机监控与审计系统的目的是:按照国家标准和保密局标准,结合长峰集团的实际情况,研制开发一套完善的、可持续扩展的安全保密信息审计系统。该系统的实现,对于在信息化高速发展的同时,严格保证涉密信息系统及其审计系统的特殊性、安全性、可靠性、可控性、及时性、可扩展性有着积极的促进作用。2.系统总体结构2.1系统架构及基本工作原理系统结构图从统一管理的角度出发,主机监控与审计系统采用多极构架组成(如图),其基本工作原理描述如下:第一层为计算机端机,通过安装的主机监控与审计系统的代理端软件,根据CMC对该端机的审计策略要求,对硬件设备的使用经行控制
4、,对用户的操作行为进行数据采集,并将采集到的各类数据上传到CMC。在系统管理员授权的情况下可通过IE对数据进行查询。第二层为各子、分公司的CMC、UB管理层,负责对各代理端进行管理、数据收集及数据的统计、查询、分析。第三层为集团CMC、UB管理层,可对下属各子、分公司的审计策略、数据进行统计、查询、分析。各单位CMC把严重报警提交给第三层的CMC,第三层CMC履行监督报警的处理情况的职责。2.2系统功能结构主机监控与审计系统是对计算机及网络的各种事件及行为实行信息采集、监测、控制和审计的应用系统。客户端主要由BA、PA两部分组成: BA(Base Agent)基本代理:指在计算机中驻留的基本代
5、理模块,负责基本信息的采集及发送、存活状态信息的发送、其他代理的加载和卸载等功能实现的软件。 PA(Policy Agent)策略代理:指按照计算机实际情况制定的策略生成的代理模块,它通过基本代理进行加载和卸载,并和基本代理进行安全认证,保证代理端软件自身安全性。服务器端即CMC(Control and Manager Center)控制管理中心,是安装于中心控制台的软件,它收集各代理发送的采集信息,根据报警策略产生报警,并推荐响应控制建议,管理各个计算机(组)策略并生成策略代理,产生审计报表等。3.系统功能3.1代理端功能代理端软件指安装于各端机上的主机监控与审计系统,由BA和PA模块组成。
6、其主要功能是根据CMC对端机审计要求和控制要求,对用户的操作行为进行审计,对端机的软、硬件使用进行控制,并对违规行为进行报警。3.1.1数据采集功能代理端数据采集是指对端机的环境信息、软、硬信息及操作、使用行为进行数据采集,具体包括以下几方面:1) 基本信息数据采集:采集计算机操作系统的基础配置数据,其中包括:用户名、主机名、域名、网络名、操作系统、MAC地址、CPU型号、IE版本号等。2) 软件信息数据采集:采集该系统已经安装的软件信息。3) 设备信息数据采集:采集该计算机的设备配置情况,包括:DVD/CD-ROM驱动器、IDE ATA/ATAPI控制器、处理器、磁盘驱动器、端口、键盘、软盘
7、控制器、软盘驱动器、鼠标和其它指针设备、通用串行总线控制器、网络适配器、显示卡等。4) 日志信息数据采集:对系统生成的日志信息进行数据采集,其中包括:应用程序错误记录、安全审核记录、系统错误记录。5) 磁盘文件操作数据采集:对用户对文件的增、删、改、重命名进行审计,同时对计算机IP地址、操作时间、文件操作类型、文件路径、文件名等数据进行提取、保存。6) 注册表操作数据采集:对注册表项的“增、删、改”操作行为进行数据采集,采集的基本信息包括:计算机名(IP地址)、用户名、程序名、键名、键值、操作时间等信息。7) 应用/进程信息数据采集:对系统的应用程序和进程的启动及运行情况进行数据采集,包括:计
8、算机名(IP地址)、用户名、进程映像名称、进程ID、程序名称等。8) 打印信息数据采集:对计算机进行的打印信息进行采集,采集的基本信息包括:计算机名(IP地址)、用户名、打印机名、打印时间、打印文档名、打印页数、打印份数等信息。9) 网络行为数据采集:对用户的上网行为进行数据采集,采集的基本信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。10) 非法外联行为数据采集:对CMC允许以外的外联行为定义为非法外联行为,此操作威胁到涉密文件的安全,因此要产生报警信息,采集的基本信息包括:计算机名(IP地址)、用户名、上网时间、网址名等信息。11) 非法内联行为数据采集:进入内网的计算机
9、是经过严格审批手续的,对没有进行审批就进入内网的计算机认为是非法内联行为,对计算机的非法内联行为的数据采集包括:计算机名(IP地址)、用户名、时间等信息。3.1.2控制功能为了保证计算机上的数据安全,防止泄密事件的发生,要禁止用户在未经许可的情况下私自将涉密文件拷出,禁止进入不安全的网络,防止被他人恶意攻击,窃取涉密文件。因此在对文件进行审计的同时,要对文件的出口加以控制。为了保证数据的有效性,对系统的关键数据的修改权利也加以控制。控制功能包括两部分设备使用的控制和操作系统参数设置的控制。1)设备包括本机已有设备和外围设备两部分,控制主要指对设备的可用性进行控制,分为启用和禁用两种状态,设备启
10、用时用户可以对设备正常使用,禁用时用户将无法使用该设备,如果用户采用其他技术手段改变了CMC对设备的控制属性,代理端检测到后将依据CMC对设备的使用权重新进行设置,并产生报警信息,通知CMC。要进行控制的设备包括以下几方面: 光驱 软驱 USB设备 USB存储设备 串、并口 打印机 拨号上网 无线网卡上网 网络共享服务2)操作系统部分功能使用的控制权 IP/MAC地址的更改:为了保证数据的有效性,同时有效防止非法内联事件的发生,在未经审批、管理员授权的情况下禁止修改IP/MAC地址。 通过网络的文件、打印和命名管道共享:为了保证计算机上的数据安全,防止他人的恶意窃取,严禁共享功能。3.1.3其
11、它功能1) 报警功能:代理端报警策略的设置及事件的报警级别由CMC负责管理,管理员根据不同端机的工作要求可设置不同报警策略,并下发到各端机。代理端软件则根据本机的报警策略对违规事件产生相应的报警信息,并立即上传到控制台,通知管理员有违规事件发生。2) 自动升级功能:代理由BA基本代理和PA策略代理组成,BA运行于OS级,常驻内存,PA则动态加载。当收到新版本PA后,BA动态卸载旧的PA,再加载新版本PA,这一切动作对用户透明,从而达到动态自动升级的目的,也无须管理人员在大规模实施后需要跑到每一个客户端去升级的大工作量行为。3) 自我防护功能:BA代理是一个短小强悍的监控程序,驻留在涉密计算机的
12、内存中,体积非常小,隐蔽性强,一但驻留,除SCMCA-HT安全管理员外,将无法删除,因此,可确保监控功能的持续、正常执行。同时,PA和BA互相监视,并隐蔽存储多副本于计算机中,当监视到对方依托文件不存在时,快速从副本处复制一个依托文件到安装目录。CMC中心也存储涉密计算机的BA和PA,一旦发现有恶意攻击行为攻击BA或者PA,CMC将产生报警,由响应的管理制度来制止这种恶意攻击行为。3.2控制管理中心功能CMC控制管理中心是该系统的核心,实现对所管辖计算机代理采集信息的统一管理、审计和报警功能,同时负责该系统本身的管理功能的实现,功能如下图所示:CMC功能示意图3.2.1系统管理功能系统功能主要
13、完成系统本身的系统设置和维护功能,保证系统访问的用户安全性、系统登录和注销的合法性、系统配置的合理性、系统数据的安全备份与恢复、系统本身的操作日志记录的完整性。1) 登录与注销管理员使用默认用户名和密码登录到CMC后,分别创建日志查看员和系统日志监督员,并赋予默认密码。管理员、日志查看员和系统日志监督员分别使用自己的用户名和默认密码登录CMC,但是根据其权限显示不同的CMC界面。所有用户在第一次使用默认密码登录后,CMC自动强制各用户更改默认密码为新密码。所有用户空闲超过一定时间后,系统自动锁定,进入锁定界面。2)用户及组管理系统用户管理是对系统本身的用户进行管理的工具。系统用户管理支持多管理
14、员角色,可区分超级管理员、管理员、日志查看员、系统日志监督员。 用户管理员具备创建下级用户的权限; 管理员只具备系统进行配置、数据备份和恢复的权限,但是不具备下级管理员的权限具备。 日志查看员可以操作CMC查阅各代理采集信息、制定策略、进行控制等功能; 系统日志监督员负责对超级管理员、管理员、日志查看员的行为日志进行查阅和监督。如果用户需要,还可在4类角色中再细分级别。4两种角色的组合使用由用户自己决定。 用户管理主要包括管理人员的帐号、口令管理、人员信息的增、删、改、查等操作。3)参数配置管理员可以对系统本身的运行参数进行配置,包括:系统显示方式、系统等待时间、计算机安全扫描时间间隔等。4)
15、数据备份与恢复管理员可对数据进行备份和恢复,数据库中的数据超过数据保存最大容量之后或者超过数据最长保存时间之后,系统会强制管理员对数据作备份操作,备份数据存放于指定目录下,备份后数据库中的记录才可以删除,备份目录和记录的删除操作都会自动记录到系统日志中,由系统日志监督员进行监督。所有数据不提供单条记录删除的功能。系统万一出现崩溃,或者硬件原因造成了数据丢失,管理员可以把最近的一次备份数据恢复到系统中。5)系统日志维护系统日志记录管理员对CMC的操作,主要包括:登录、退出、用户管理操作、部门管理操作、策略操作、控制操作等。系统日志监督员可以对系统日志数据库表/记录进行备份/恢复等维护操作。 日志
16、在备份后可以删除,不提供单条删除功能。3.2.2计算机软硬件资产管理功能计算机资源是指单位内部的计算机,这些计算机是单位信息网络的重要组成部分,通常来说,某台计算机会有明确的任务、使用范围和使用人。目前,并没有效的措施指定计算机的使用者,计算机资源的使用难以控制,从而造成一定的信息安全隐患,比如财务部的计算机就不能允许非财务人员使用等等。另外,计算机资源是一个单位非常重要的资产,一般包括硬件资产和软件资产。CMC利用其超强的硬件获取能力使信息人员和资产管理人员可以很方便的查看到网络内部的硬件的分配情况,可以极大地方便了资产统计人员,避免了过去做资产统计必须拆机箱的做法,利用先进的自动捕获技术,
17、及时的收集到所有的硬件信息,提高工作人员的效率。CMC利用其强大的软件信息获取能力将单位所拥有的软件纳入资产的正常管理程序,以便掌握单位信息化的投资状况,包括采购、安装、分发、升级、维护、删除等整个软件使用的生命周期。它经由一系列有效的管理措施,配合系统管理的使用,就可以合理地控制软件购置的经费支出,以此提升软件资产的利用率与整体效益,并且确保软件使用的合法性。 1)计算机单机资产管理单机资产管理负责将网络内合法的计算机添加到本系统内,作为合法用户使用。功能包括:计算机信息的增、删、改、查。单机资产管理功能包括硬件资产管理和软件资产管理两部分,并且提供强大的统计功能。 硬件资产管理安装硬件信息
18、:在涉密计算机用户注册后,记录下计算机的所有硬件安装信息(处理器CPU,光驱,内存,软驱,声卡,显卡,硬盘的类型及其种类),同时把该信息和用户信息、固定资产编号信息进行关联形成该用户的硬件资产信息并且进行日志记录;变动硬件信息:检测计算机发生变动的硬件信息,并且记录日志。 软件资产管理安装软件信息:在计算机用户注册后,记录下涉密计算机的所有软件安装信息并且进行日志记录;变动软件信息:检测计算机发生变动的软件信息,并且记录日志。2)组/部门资产管理CMC支持群组/部门管理,即将被监控计算机群按照传统的业务组/工作组/部门进行划分,并按照组/部门的方式进行策略管理,组内的成员的计算机全部自动遵守该
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
10 积分
下载 | 加入VIP,下载更划算! |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 主机 监控 审计 系统 设计方案